認証メカニズムは、クライアントが識別情報をサーバーに提示する方法の 1 つです。Messaging Server は SASL (Simple Authentication and Security Layer) プロトコルで定義されている認証方法をサポートし、さらに、証明書に基づく認証もサポートします。この節では、SASL による認証メカニズムについて説明します。証明書に基づく認証の詳細は、「暗号化と証明書に基づく認証を構成する」を参照してください。
Messaging Server は、パスワードに基づく認証の場合、次の SASL 認証方法をサポートします。
PLAIN - このメカニズムは、ユーザーのプレーンテキストパスワードをネットワーク経由で渡すので、パスワードが盗まれる可能性があります。
この問題は、SSL を使用することによって軽減できます。詳細は、「暗号化と証明書に基づく認証を構成する」を参照してください。
DIGEST-MD5 - RFC 2831 で定義されているチャレンジ/応答型の認証メカニズム。Messaging Multiplexor では、DIGEST-MD5 はサポートされていません。
この機能は、推奨されておらず、将来のリリースで削除される予定です。
CRAM-MD5 - APOP に似たチャレンジ/応答型の認証メカニズムですが、ほかのプロトコルでの使用にも適しています。RFC 2195 に定義されています。
APOP - POP3 プロトコルでのみ使用できるチャレンジ/応答型の認証メカニズム。RFC 1939 に定義されています。
LOGIN - PLAIN と同等。SMTP 認証の標準化前の実装との互換性を保つためにのみ存在します。デフォルトでは、このメカニズムは SMTP で使用される場合にのみ有効になります。
チャレンジ/応答型の認証メカニズムでは、サーバーからクライアントにチャレンジ文字列が送られます。クライアントは、そのチャレンジのハッシュとユーザーのパスワードを使用して応答します。クライアントの応答がサーバー自体のハッシュと一致すると、ユーザーが認証されます。ハッシュは元のデータに戻すことができないため、ネットワークを介して送信してもユーザーのパスワードが危険にさらされることはありません。
POP、IMAP、および SMTP サービスは、すべての SASL メカニズムをサポートします。HTTP サービスは、プレーンテキストパスワードによるメカニズムだけをサポートします。
表 19–1 に、SASL および SASL 関連の configutil パラメータの一部を示します。configutil パラメータがもっとも多く挙げられている最新のリストについては、『Sun Java System Messaging Server 6 2005Q4 Administration Reference』の「configutil Parameters」を参照してください。
表 19–1 SASL および SASL 関連の configutil パラメータの一部
パラメータ |
説明 |
---|---|
ブール代数値です。ディレクトリがプレーンテキストパスワードを格納していることを示します。この値により APOP、CRAM-MD5、および DIGEST-MD5 が有効になります。 デフォルト: False |
|
サポートされず使用されません。sasl.default.auto_transition を参照してください。 |
|
ブール型です。設定し、ユーザーがプレーンテキストのパスワードを入力した場合、パスワード保存形式がディレクトリサーバーのデフォルトのパスワード保存形式に移行されます。プレーンテキストのパスワードから、APOP、CRAM-MD5 または DIGEST-MD5 への移行に使用することができます。 デフォルト: False |
|
IMAP による使用のため、SASL ANONYMOUS メカニズムを有効にします。 デフォルト: False |
|
0 より大きな値に設定すると、セキュリティーレイヤー (SSL または TLS) が有効でない限り、プレーンテキストのパスワードの使用を無効にします。これによりユーザーは、ログインする自分のクライアントで SSL または TLS を強制的に有効にすることになり、自分のパスワードがネットワーク上で漏洩することを防ぎます。MMP には同等のオプション「RestrictPlainPasswords」があります。 注: Messaging Server の 5.2 リリースでは、SSL または TLS が使用する暗号の強度の数値が調べられます。この機能はオプションの簡潔化のため、また一般的な使用法に合わせるため削除されました。 デフォルト: 0 |
|
有効にする SASL メカニズムの、スペース区切りのリストです。空でない場合、この設定は sasl.default.ldap.has_plain_passwords オプションおよび service.imap.allowanonymouslogin オプションよりも優先します。このオプションは、すべてのプロトコル (imap、pop、smtp) に適用されます。 デフォルト: False |
|
ユーザーがドメインの inetDomainSearchFilter に指定されていない場合に、ユーザーの検索に使用されるデフォルトの検索フィルタです。構文は inetDomainSearchFilter と同じです (スキーマガイドを参照)。 デフォルト: (&(uid=%U)(objectclass=inetmailuser)) |
|
デフォルトでは、認証システムは LDAP 内のドメインをドメイン検索のルールに従って検索し (参照は必要)、その後ユーザーを検索します。ただし、このオプションがデフォルトの「1」ではなく「0」に設定されている場合、ドメイン検索は行われず、sasl.default.ldap.searchfilter を使用したユーザーの検索が local.ugldapbasedn で指定した LDAP ツリーの直下で行われます。旧バージョンの単一ドメインスキーマとの互換性のために提供されていますが、小さな企業であっても合併や名称変更により複数ドメインのサポートが必要になる可能性があるため、新しい配備のための使用にはお勧めしません。 |
CRAM-MD5、DIGEST-MD5、または APOP SASL の認証メソッドでは、ユーザーのプレーンテキストパスワードにアクセスする必要があります。次の手順を実行する必要があります。
パスワードがクリアテキストで保存されるように Directory Server を構成します。
Directory Server がクリアテキストのパスワードを使用していることを認識できるように、Messaging Server を構成します。
CRAM-MD5、DIGEST-MD5、または APOP メカニズムを有効にするには、次のようにパスワードがクリアテキストで保存されるように Directory Server を構成する必要があります。
コンソールで、構成する Directory Server を開きます。
「設定」タブをクリックします。
左のペインで「Data」を開きます。
右のペインで「パスワード」をクリックします。
「パスワードの暗号化」ドロップダウンリストで「cleartext」を選択します。
この変更は、将来作成するユーザーにのみ影響を与えます。既存のユーザーは、この変更を加えたあとで移行するか、パスワードを再設定する必要があります。
次に、Directory Server がクリアテキストのパスワードを使用していることを認識できるように Messaging Server を構成することができます。これにより、Messaging Server で APOP、CRAM-MD5、および DIGEST-MD5 を安全に使用できるようになります。
configutil -o sasl.default.ldap.has_plain_passwords -v 1
値を 0 に設定すると、これらのチャレンジ/応答型の SASL メカニズムを無効にすることができます。
既存のユーザーは、パスワードを再設定または移行するまで APOP、CRAM-MD5、または DIGEST-MD5 を使用できません (次の「ユーザーを移行するには」を参照)。
MMP には同等のオプション「CRAM」があります。
configutil を使用して、移行するユーザーに関する情報を指定できます。たとえば、ユーザーパスワードを変更する場合や、適切なユーザーエントリがないメカニズムを使ってクライアントが認証を試みている場合に、この情報を指定します。
configutil -o sasl.default.auto_transition -v value
value には、次のいずれかを指定できます。
no または 0 - パスワードを移行しない。これがデフォルトです。
yes または 1 - パスワードを移行する。
ユーザーを正常に移行するには、Messaging Server がユーザーパスワード属性に書き込みアクセスできるように、Directory Server の ACI を設定する必要があります。そのためには、次の手順を実行します。
コンソールで、構成する Directory Server を開きます。
「ディレクトリ」タブをクリックします。
ユーザー/グループツリーのベースサフィックスを選択します。
「オブジェクト」メニューから「アクセス権を設定」を選択します。
「Messaging Server End User Administrator Write Access Rights (Messaging Server エンドユーザー管理者書き込みアクセス権)」に対する ACI を選択 (ダブルクリック) します。
「ACI 属性」をクリックします。
既存の属性のリストに userpassword 属性を追加します。
「了解」をクリックします。
sasl.default.mech_list を使用して SASL メカニズムのリストを有効にできます。空でない場合、この設定は sasl.default.ldap.has_plain_passwords オプションおよび service.imap.allowanonymouslogin オプションよりも優先します。このオプションは、すべてのプロトコル (imap、pop、smtp) に適用されます。